一個沒人看的開源 AI 工具，12 天前就預警了 Kelp DAO 的 2.92 億美元漏洞

作者：Zengineer

編譯：深潮 TechFlow

深潮導讀：4 月 18 日，Kelp DAO 被盜 2.92 億美元，是 2026 年迄今最大的 DeFi 事故。漏洞不在合約代碼裡，而在 LayerZero 跨鏈橋的 1-of-1 驗證節點配置——單點失守就能偽造跨鏈消息。作者 12 天前用自己開發的開源 AI 審計工具掃描 Kelp 時，就已經標記過這個風險點。本文復盤攻擊全過程，也誠實反思工具當時沒做對的三件事。

Kelp DAO 是什麼

Kelp DAO 是一個建在 EigenLayer 之上的流動性再質押協議。機制是這樣的：用戶把 ETH 或流動質押代幣（stETH、ETHx）存進 Kelp 合約，合約再把資產委託給 EigenLayer 的運營節點做再質押——同時為多個 AVS（Actively Validated Services，主動驗證服務）提供安全性。作為回報，用戶拿到 rsETH 作為憑證。和直接在 EigenLayer 上再質押（資產被鎖住）不同，rsETH 是流動的——可以交易、可以在 Aave 等借貸協議裡當抵押品、也可以跨鏈。

為了實現這種跨鏈流動性，Kelp 用 LayerZero 的 OFT（Omnichain Fungible Token，全鏈同質化代幣）標準在 16 條以上的鏈上部署了 rsETH。當你把 rsETH 從以太坊跨到某條 L2 時，LayerZero 的 DVN（Decentralized Verifier Network，去中心化驗證網絡）會校驗這條跨鏈消息是否合法。這套橋架構正是後面故事的核心。

Kelp 由 Amitej Gajjala 和 Dheeraj Borra（此前是 Stader Labs 的聯合創始人）發起，2023 年 12 月上線，TVL 峰值 20.9 億美元，治理採用 6/8 多簽加 10 天合約升級時間鎖。治理代幣 KERNEL 統管 Kelp、Kernel、Gain 三條產品線。

被盜事件

2026 年 4 月 18 日，攻擊者從 Kelp DAO 的跨鏈橋裡抽走了 116,500 枚 rsETH，約合 2.92 億美元——2026 年迄今最大的 DeFi 攻擊事件。根本原因不是智能合約漏洞，而是一個配置問題：一個 1-of-1 的 DVN 設置（也就是只有 1 個驗證節點、通過 1 個簽名就算數），讓攻擊者用單個被攻破的節點就偽造了跨鏈消息。

12 天前，4 月 6 日，我開源的安全審計工具就已經把這個攻擊面標了出來。

先說一句：這次被盜，是真實的人在真實地虧錢。從沒碰過 rsETH 的 Aave WETH 存款人，資金被凍了；多個協議裡的 LP 要承擔他們根本沒簽約承擔的呆帳。這篇文章分析發生了什麼、我們的工具捕捉到了什麼——但人們實際損失的代價，比任何評分表都更重要。

完整報告掛在 GitHub 上，commit 時間戳任何人都能驗證。下面講講我們抓到了什麼、漏掉了什麼，以及這件事對 DeFi 安全工具意味著什麼。

46 分鐘，DeFi 震動

UTC 時間 4 月 18 日 17:35，攻擊者攻破了那個孤立的 DVN 驗證節點，然後讓它"批准"了一條偽造的跨鏈消息。LayerZero 的 Endpoint 看到 DVN 通過了，就把消息通過 lzReceive 轉交給 Kelp 的 OFT 合約——合約照做，在以太坊主網鑄出了 116,500 枚 rsETH。消息聲稱其它鏈上鎖了等值資產做擔保。那些資產從來就不存在。

接下來是一套標準的 DeFi 洗錢流程：

把偷來的 rsETH 當抵押品存進 Aave V3、Compound V3、Euler

用這些沒有真實擔保的抵押品，借出約 2.36 億美元 WETH

集中約 74,000 枚 ETH，通過 Tornado Cash 出金

46 分鐘之後的 18:21，Kelp 的緊急暫停多簽凍結了合約。攻擊者隨後兩次追擊（各 40,000 枚 rsETH，約 1 億美元）全部 revert——這次暫停又擋下了約 2 億美元。

但波及範圍仍然慘烈。Aave V3 吞下約 1.77 億美元壞帳。AAVE 代幣暴跌 10.27%。ETH 跌 3%。Aave 上 WETH 的使用率瞬間拉滿到 100%，存戶搶著撤。20 多條 L2 上的 rsETH，一夜之間全都成了價值存疑的資產。

4 月 6 日，報告抓到了什麼

4 月初，就在 4 月 1 日 Drift Protocol 被盜 2.85 億美元之後不久，我寫了一個開源的 Claude Code 技能 crypto-project-security-skill——一套 AI 輔助的架構風險評估框架，用公開數據（DeFiLlama、GoPlus、Safe API、鏈上驗證）來評估 DeFi 協議。它不是代碼掃描器，也不是形式化驗證工具。Drift 事件讓我看清一點：真正導致最大損失的，不在智能合約代碼裡——而在治理漏洞、配置疏忽、架構盲區，這些代碼掃描器永遠看不見的地方。於是我寫了一個專門評估這幾層的工具：治理結構、預言機依賴、經濟機制、跨鏈架構，把每個協議和歷史上著名攻擊（Drift、Euler、Ronin、Harmony、Mango）的攻擊模式做對比。

4 月 6 日，我對 Kelp DAO 跑了一次完整審計。完整報告公開在 GitHub 上，帶不可篡改的 commit 時間戳。

報告給 Kelp 的綜合分診分數是 72/100（中等風險）。事後看，這個分打得太寬鬆——那幾個沒解答的跨鏈信息缺口本該把分數拉低。但即便是在中等風險評級下，報告也點到了後來被真實利用的那個攻擊面。

下面這張截圖，是報告"信息缺口"部分的原文——關於 Kelp 的 DVN 配置的那個問題，最後變成了 2.92 億美元被盜的根因：

圖注：4 月 6 日報告的"信息缺口"章節，DVN 配置不透明被直接點名

下面逐條對照報告裡標記了什麼、實際怎麼被打穿的。

發現 1：DVN 配置不透明（預警信號）

報告原文：「LayerZero DVN 配置（各鏈的驗證者集合、閾值要求）未公開披露」

實際發生了什麼： Kelp 跑的是 1-of-1 的 DVN 配置。一個節點。一個單點。攻擊者拿下這一個節點，就偽造出了跨鏈消息。如果配置是 2-of-3（行業最低推薦），攻擊者就必須同時攻破多個獨立驗證方。

要說清楚一件事：這是 Kelp 的問題，不是 LayerZero 的問題。LayerZero 是基礎設施——它提供 DVN 框架，每個協議自己挑配置：幾個驗證節點（1-of-1、2-of-3、3-of-5…）、用誰的節點、各鏈閾值多少。Kelp 部署 OFT 橋的時候選了 1-of-1。LayerZero 完全支持 2-of-3 或更高——是 Kelp 自己沒開。

打個比方：AWS 提供 MFA（多因素認證）。如果你帳號被盜是因為你從沒開 MFA，那是你的問題，不是 AWS 的。LayerZero 把安全機制擺在那了，Kelp 沒用。

我們的報告當時沒法確定具體的 DVN 閾值（因為 Kelp 從沒披露過），但我們把這個不透明明確列成了未解決的信息缺口和風險項。不願披露本身，就是一個紅旗。

發現 2：16 條鏈的單點失敗（直接命中）

報告原文：「LayerZero DVN 的單點失敗，可能同時影響 16 條支持鏈上的 rsETH」

實際發生了什麼： 伪造消息直接命中以太坊主網，衝擊波擴散到所有部署了 rsETH 的鏈。LayerZero 預防性地暫停了所有從以太坊出去的 OFT 橋。20 多條 L2 上的 rsETH 持有人，手裡的代幣一夜之間說不清還有沒有擔保。

這是多鏈部署的系統性風險：rsETH 同時在 Arbitrum、Optimism、Base、Scroll 等 L2 上流通，但所有這些代幣的價值都源自以太坊主網上的資產。主網橋一被攻破，每條 L2 上的 rsETH 同時失去保證——持有人既不能贖回，也沒法驗證自己手裡的代幣還值不值錢。Lido 的 earnETH（持有 rsETH 敞口）、Ethena 的 LayerZero 橋——全都被迫暫停。爆炸半徑遠超 Kelp 自己。

發現 3：跨鏈治理控制權未經驗證（相關問題）

報告原文：「對各鏈 LayerZero OFT 配置的治理控制權未經驗證——特別是：這些控制權是否歸屬同一個 6/8 多簽和 10 天時間鎖，還是由獨立的管理密鑰掌控」

實際發生了什麼： DVN 配置顯然不在核心協議的嚴格治理之下。如果橋配置變更也歸 6/8 多簽加 10 天時間鎖管，1-of-1 的 DVN 設置就需要 8 個簽署人裡有 6 個同意——這種配置不太可能一直沒人管。

這暴露了一個常見的治理盲區：很多協議對核心合約升級設了嚴格的多簽加時間鎖，但在運營層的改動上——橋配置、預言機參數、白名單管理——往往只有一個 admin key 能改。Kelp 的核心協議治理是業內領先的（6/8 多簽 + 10 天時間鎖），但這些保護並沒有延伸到它最大的攻擊面：跨鏈橋。

發現 4：匹配 Ronin/Harmony 攻擊模式（直接命中）

報告原文：「最相關的歷史先例涉及橋安全。Kelp 在 16 條鏈上的 LayerZero 部署，帶來的運營複雜度類似 Ronin 的多鏈架構」

實際發生了什麼： 攻擊路徑幾乎完美復刻了 Ronin 劇本——攻破橋驗證者、偽造消息、抽空資產。我們工具的攻擊模式匹配模塊，把協議架構和歷史攻擊類別做對比，正確地把這裡識別為最高風險的攻擊向量。

歷史背景：2022 年，Ronin 橋因 5 個（共 9 個）驗證者被攻破損失 6.25 億美元；同年，Harmony 的 Horizon 橋因 2 個（共 5 個）驗證者被攻破損失 1 億美元。Kelp 的處境更極端——只有 1 個驗證者，把攻擊門檻壓到了絕對最低。工具之所以能標出這個風險，就是因為它會自動把協議架構對比這些歷史攻擊模式，而不是只看代碼。

發現 5：沒有保險池（放大了損失）

報告原文：「協議目前沒有專項保險池，也沒有社會化損失承擔機制來吸收罰沒事件」

實際發生了什麼： 因為沒有保險儲備，2.92 億美元的損失整個被下游協議吞下。Aave 的回收儲備覆蓋了不到它 1.77 億美元壞帳的 30%。和 Kelp 橋配置決策毫無關係的 LP——承擔了最大的衝擊。

攻擊者把偷來的 rsETH 當抵押品，存進 Aave V3、Compound V3、Euler，然後借出真的 WETH。一旦 rsETH 被確認沒擔保，這些倉位就成了「無法清算」的壞帳——抵押品變廢紙，但借出去的 WETH 已經沒了。Aave 上的 WETH 使用率瞬間拉滿，普通用戶想取都取不出來。如果你是 Aave 上的 WETH 存款人，就算你從沒碰過 rsETH，你的資金也受影響。Kelp 和 Nexus Mutual 的保險合作只覆蓋特定的金庫產品，沒覆蓋核心的 rsETH 協議敞口。

這是兩邊責任都沒盡到。Kelp 這邊：一個管著 13 億美元 TVL 的協議，零保險池、零損失吸收機制。橋被攻破時，沒有任何緩衝能吸收傷害。Aave 這邊：接受 rsETH 做抵押品，但沒有充分評估它的跨鏈橋配置風險。Aave 的風險參數（LTV、清算閾值）是為正常價格波動設計的，但沒考慮「橋配置被攻破導致抵押品一夜歸零」這種尾部風險。回收儲備連 30% 壞帳都覆蓋不了。本質上，這是一場風險定價失敗：Aave 把 rsETH 當成一個正常波動的資產來對待，但它實際上帶著橋失敗的二元尾部風險。兩邊的失敗疊加起來——Kelp 這邊沒有保險阻止壞抵押品進入系統，Aave 這邊沒有做足夠精細的風險建模來限制這種場景下的敞口。

我們哪裡錯了

有三件事本該做得更好：

風險評級打低了。我們把跨鏈橋風險評成了「中等」。報告裡 5 個未解決的信息缺口有 3 個跟 LayerZero 橋配置相關，又匹配上 Ronin/Harmony 的歷史攻擊模式——這本該是「高」或「嚴重」。不透明本身就應該是更強的信號。

我們沒能穿透配置層。報告反覆要求 Kelp 披露 DVN 閾值，但我們沒法獨立驗證。這正是 鉅亨網 的事後分析 指出的同一個結構性盲區：現有審計工具聚焦代碼邏輯，抓不到配置層的風險。我們標記了問題，但沒能回答。

我們沒查鏈上。DVN 配置其實可以通過 LayerZero 的 EndpointV2 合約直接在鏈上讀。我們本可以查詢 ULN302 registry 來獨立驗證 Kelp 的 DVN 閾值，而不是標成「未公開披露」。如果當時查了，就能直接看到 1-of-1 配置，根本不需要 Kelp 披露。這是工具最具體的改進方向：在跨鏈評估步驟裡加上鏈上 DVN 配置驗證。

發現不夠具體，不夠可行動。說「DVN 配置未披露」是在觀察文檔缺失——不是預測攻擊。這些風險（預言機集中度、橋依賴、缺少保險）其實同樣普遍存在於多數跨鏈 DeFi 協議。工具標記了 Kelp 的不透明，但它也在幾十個沒被攻擊的協議上標過類似模式。在沒有公布誤報率的情況下，宣稱「我們預測到了」是誇大事實。更誠實的說法是：我們問了一些沒人在問的正確問題，其中一個恰好踩到了關鍵承重點。

關於「負責任披露」

一個公平的問題：如果我們 4 月 6 日就標記了這些風險，為何沒在 4 月 18 日被攻擊前通知 Kelp？

沒通知。原因是：報告識別的是不透明——「DVN 配置未披露」，不是一個具體的可利用漏洞。我們不知道配置是 1-of-1，只知道配置沒公開。沒有具體到可以披露的東西。「你的橋配置沒文檔」是治理觀察，不是一份適合提交 bug 獎金計畫的報告。

事後看，我們本可以直接聯繫 Kelp 團隊，問一下他們的 DVN 閾值。那次對話或許能把 1-of-1 配置暴露出來，促成修復。我們沒做。這是個教訓：就算某個發現看起來太模糊，不適合走正式披露流程，私下發條消息問一問還是值得的。

這件事對 DeFi 安全意味著什麼

Kelp 被盜——跟 17 天前的 Drift 被盜一樣——不是智能合約漏洞。Slither、Mythril、甚至 GoPlus 之類的自動化代碼掃描器都抓不到。漏洞藏在部署配置、治理缺口、架構決策裡，坐落在代碼層之上。

這也是 crypto-project-security-skill 的核心主張：

協議安全不只是代碼安全。一個協議可以有完美的 Solidity、來自頂級公司的五次審計、25 萬美元的 bug 獎金——然後因為橋驗證者配置的問題，照樣被偷走 2.92 億美元。

工具 在 GitHub 上開源——任何人都可以審查方法論、自己運行、或者改進它。

時間線

12 天。信號早就在那。問題是：生態要怎麼建立起能在下一座橋倒下之前看見這些信號的工具。

你可以做什麼

如果你手裡有資產在帶跨鏈橋的 DeFi 協議裡：

自己跑一次審計。 工具是開源的。不用信我們——自己驗證。

查橋驗證者配置。 如果一個協議不願披露它的 DVN 閾值，就當成紅旗。我們的報告就是這麼做的，事實證明沒錯。

別以為代碼審計覆蓋了一切。Kelp 有 5 次以上來自知名公司和平台的代碼審計（Code4rena、SigmaPrime、MixBytes）。傳統代碼審計的設計目標不包括抓 DVN 閾值設定這種配置層風險——那是另一類分析，不是審計公司失職。

評估保險覆蓋。如果一個協議沒有保險池，而你是某個接受它代幣作抵押的借貸平台上的 LP，你就在隱性地替它承保。這次 Aave 上 WETH 存款人，用最硬的方式學到了這件事。

更大的圖景：AI Agent 作為一個安全層

這篇文章講的是一個工具和一次被盜。但背後的主張更大：AI Agent 可以成為 DeFi 投資者的獨立安全層。

加密行業傳統安全模式長這樣：協議雇審計公司、審計公司看代碼、審計公司發報告。這個模式有盲區——Kelp 事件正說明了這一點，它聚焦代碼正確性，卻漏掉了配置、治理、架構風險。

Claude Code 和這類技能工具帶來的是另一種路徑：任何人都能用公開數據，幾分鐘內對任何協議跑一次 AI 輔助的風險評估。你不用花 20 萬美元請審計公司。你不用會讀 Solidity。你讓 agent 把協議架構對比已知攻擊模式，它會把你在存錢之前應該問的問題擺出來。

這不會取代專業審計——但它把第一層盡職調查的門檻降低到了所有人都能用的程度。一個正在考慮把資金投入某個新再質押協議的 LP，現在可以跑一條 audit defi ，拿到一份覆蓋治理、預言機、橋、經濟機制的結構化風險評估。對散戶和中腰部投資者自我保護的方式，這是一場真正的轉變。

Kelp 的那份報告不完美。它給橋風險打了中等，應該是嚴重。它沒穿透配置層。但它問了正確的問題——如果 Kelp 團隊或任何 LP 當時認真對待了這些問題，2.92 億美元的損失本可以避免。

參考資料

CoinDesk: 2026 年最大加密攻擊——Kelp DAO 被盜 2.92 億美元

Crypto Briefing: Kelp DAO 遭 2.92 億美元橋接攻擊

DL News: 黑客攻擊 DeFi 協議 Kelp DAO，損失約 3 億美元

Bitcoin.com： ZachXBT 披露 KelpDAO 2.8 億美元以上攻擊事件

鉅亨網：2.93 億美元的漏洞不在程式碼裡

Aave 在 X 上的官方聲明

Kelp DAO 完整安全報告（2026 年 4 月 6 日）

crypto-project-security-skill 源代碼